Qué es el fleeceware, cómo funciona y cómo evitarlo

Si últimamente ves cargos raros o pequeñas cantidades que se repiten en tu tarjeta y no recuerdas haber comprado nada, puede que no sea un despiste. Detrás de muchos de esos cobros están las llamadas aplicaciones de fleeceware, un tipo de software que no infecta tu móvil, pero sí puede ir vaciando tu cuenta poco a poco.

Este fenómeno se ha colado en Google Play y en la App Store aprovechando periodos de prueba “gratuitos” y suscripciones en letra pequeña. Los desarrolladores juegan con la curiosidad, la falta de tiempo para leer condiciones y el desconocimiento sobre cómo funcionan las suscripciones para cobrar cuotas desproporcionadas por apps muy básicas que podrías tener gratis.

Qué es exactamente el fleeceware

El término fleeceware apareció en 2019 de la mano de la empresa de ciberseguridad Sophos, cuando detectó en Google Play un conjunto de aplicaciones que, sin ser técnicamente malware, estaban “desplumando” a los usuarios a base de suscripciones abusivas.

La palabra proviene de la combinación de “fleece” (desplumar, sacar el dinero) y “ware” (software). Podemos traducirlo de forma coloquial como “software para desplumarte”, porque ese es justo su objetivo: cobrar cantidades exageradas por funciones que o bien ya trae tu móvil de serie, o bien existen en otras apps gratuitas o muy baratas.

Normalmente se presentan como apps gratuitas, o con un periodo de prueba sin coste de unos pocos días. Durante el registro te piden los datos de pago (tarjeta, cuenta de Google Play o Apple ID) y, una vez termina la prueba, activan una suscripción con un precio desorbitado escondido entre términos y condiciones.

Cómo funciona el fleeceware paso a paso

El patrón de funcionamiento de las apps de fleeceware suele repetirse casi siempre, con pequeñas variaciones según la tienda o el desarrollador, pero con la misma idea de fondo: que pagues demasiado durante el mayor tiempo posible.

En primer lugar, el usuario encuentra una app aparentemente inofensiva: una calculadora, un lector de códigos QR, un editor de fotos sencillo, un creador de GIF, una app de linterna o, incluso, aplicaciones con contenidos para niños o elementos para juegos como Minecraft. Suelen destacar por tener millones de descargas y prometer funciones simples, a veces asociadas a un precio muy alto.

Al abrirla por primera vez, la aplicación exige introducir un método de pago para “activar” el periodo de prueba gratuito, que suele ser de unos tres días o una semana. Si no facilitas los datos bancarios, directamente no te deja usar la app, lo que ya es un primer aviso de que algo no pinta bien.

El usuario curiosea la app, ve que no es para tanto o que no le aporta nada distinto y la desinstala convencido de que así cancela todo. El problema es que en este tipo de apps borrar el icono no significa anular la suscripción. La suscripción queda activa a nivel de cuenta (Google Play o App Store) y, pasada la prueba, empieza a cobrar semanal o mensualmente.

Esos cobros pueden ir desde varios euros por semana a cantidades totalmente desproporcionadas para lo que ofrece la app: decenas de euros al mes e incluso más de 200 o 300 euros en algunos casos extremos detectados por investigadores. Al mezclarse con otros cargos pequeños habituales (suscripción a música, compras en tiendas online, etc.), pasan desapercibidos durante meses.

Por qué no se considera malware (y cómo se aprovecha de la ley)

Una de las claves del fleeceware es que se mueve en una zona gris legal y técnica. Las aplicaciones cumplen, en apariencia, las normas de Google Play y la App Store: no incluyen código malicioso, no piden permisos innecesarios, realizan la función que anuncian y no abusan directamente de vulnerabilidades del sistema.

Las tiendas de aplicaciones revisan principalmente que las apps no contengan malware clásico (spyware, adware, troyanos, etc.). Como el fleeceware no roba datos ni secuestra el dispositivo, pasa los controles sin demasiados problemas. Desde el punto de vista técnico, son “funcionales” y respetan las APIs de la plataforma.

El segundo punto que aprovechan es el modelo de suscripción. Muchos países fijan un precio máximo de suscripción en las tiendas de apps (por ejemplo, en torno a 350 euros en parte de la UE, 400 dólares en EEUU). Mientras la app establezca una cuota por debajo de ese límite, la plataforma no la bloquea por precio.

El truco está en aplicar ese precio máximo, o cercano, a servicios ridículamente básicos: linternas, escáneres de códigos, apps de limpieza de contactos, pequeños editores o “protecciones” de seguridad muy cuestionables. Legalmente se considera que es el usuario quien acepta ese precio al suscribirse, aunque la realidad es que muchas veces dicha información está enterrada en la letra pequeña.

Además, existe una diferencia importante entre desinstalar una aplicación y cancelar una suscripción. Para servicios legítimos (por ejemplo, una app de música o una plataforma de vídeo), muchas personas ya saben que la cuota sigue aunque borres la app del móvil, pero en aplicaciones muy sencillas la mayoría da por hecho que todo queda anulado. El fleeceware se apoya en ese desconocimiento.

Ejemplos reales de fleeceware en Android e iOS

Investigadores de empresas como Sophos, Avast, Kaspersky o Check Point han documentado numerosos casos de apps fleeceware tanto en Android como en iOS. Muchas se disfrazan de utilidades simples y ofrecen periodos de prueba gratis que se convierten en suscripciones exageradas.

Entre los ejemplos detectados en Google Play se encontraban apps como linternas, lectores de códigos QR, aplicaciones de brújula, calculadoras, creadores de GIF, collages de fotos o fondos de pantalla. Algunas estaban orientadas a un público infantil, ofreciendo contenidos para juegos como Minecraft o diseños llamativos para niños, con cuotas de hasta 30 euros por semana una vez concluida la prueba.

En el caso de iOS, también se han encontrado aplicaciones con este comportamiento. Un caso muy comentado fue el de “Mobile Protection: Clean & Security VPN”, una supuesta app de seguridad que ofrecía un servicio de VPN y limpieza. Prometía tres días gratis, pero la suscripción posterior alcanzaba los 400 dólares al mes, una cifra desmesurada para lo que realmente ofrecía.

Otra app para iPhone e iPad funcionaba como lector de códigos QR. Nada más abrirla, pedía los datos de pago para activar un periodo de prueba. Pasados tres días, comenzaba a cobrar casi 4 dólares por semana, una cantidad absurda para una función que ya integran de serie muchas cámaras de móvil.

En su momento, Google eliminó de golpe 14 de las 15 primeras aplicaciones denunciadas por Sophos, pero al poco tiempo aparecieron otras nuevas con el mismo patrón. Lo mismo ha ocurrido en la App Store: Apple ha ido endureciendo las reglas de suscripción y lanzando avisos al usuario, pero siguen apareciendo desarrolladores que intentan bordear los límites.

Relación entre fleeceware y otros fraudes con pequeños cargos

Antes de que existieran los smartphones tal y como los conocemos, ya se utilizaba una técnica similar con tarjetas de crédito robadas. En vez de hacer un gran cargo único, ciertas redes criminales preferían realizar numerosos cobros pequeños en muchas tarjetas, de manera que pasaran desapercibidos para las víctimas y para los sistemas automáticos de detección de fraude de los bancos.

La lógica es sencilla: un cargo muy alto y extraño dispara las alarmas enseguida, pero unos cuantos cargos pequeños de pocos euros al mes, mezclados con otros pagos habituales, pueden tardar mucho en detectarse. Mientras tanto, los delincuentes van sumando cantidades importantes.

El fleeceware aplica esa misma filosofía en el entorno de las tiendas de apps, aunque en este caso se mueve en un terreno “legal” porque el usuario ha aceptado (aunque sea sin leerlos) los términos de la suscripción. Los cargos se repiten periódicamente y, si el usuario no revisa sus extractos con atención, la estafa “suave” puede prolongarse indefinidamente.

También existen paralelismos con otros fraudes fuera del mundo digital. Por ejemplo, se han documentado casos de “muestras gratuitas” de cosméticos que escondían en la letra pequeña una suscripción mensual de decenas de libras. La fórmula es idéntica: algo “gratis” como anzuelo, datos de pago entregados con confianza y un compromiso económico oculto.

En todos estos escenarios, la clave está en la psicología del usuario: curiosidad por probar productos caros, atracción por lo gratis, poca paciencia para leer condiciones extensas y confianza en que “si algo va mal, se notará pronto”. El fleeceware exprime este cóctel de hábitos hasta el límite, pero sin cruzar del todo la línea técnica del malware.

Medidas de Google y Apple contra el fleeceware

Tras los primeros informes públicos, tanto Google como Apple se vieron obligados a reaccionar. Google anunció cambios en su política de suscripciones para hacerlas más transparentes y proteger mejor a los usuarios, especialmente en lo relativo a los periodos de prueba y a la comunicación de los precios reales.

A partir de ciertas fechas, las aplicaciones de Google Play han tenido que mostrar de forma más clara si es necesaria una suscripción para acceder a todas las funciones, explicar con detalle la duración de las pruebas gratuitas, el precio posterior y ofrecer un camino sencillo para cancelar la suscripción.

Además, Google se comprometió a enviar correos electrónicos recordando el final de las pruebas gratuitas y las renovaciones automáticas a largo plazo, así como a avisar explícitamente de que desinstalar una aplicación no implica, por sí solo, cancelar una suscripción activa.

Apple, por su parte, introdujo en iOS una función muy útil: cuando intentas borrar una app que tiene una suscripción asociada, el sistema muestra un aviso para que la canceles si no quieres seguir pagando. También endureció los requisitos de las apps que gestionan suscripciones, especialmente en lo referente a la claridad de la información.

Aunque estas medidas han reducido parte del problema, los desarrolladores de fleeceware se siguen adaptando. Mientras el modelo de negocio de las suscripciones siga siendo rentable y no se considere ilegal, seguirán intentando aprovechar los huecos de las políticas, por lo que la responsabilidad última de vigilar sigue recayendo en el usuario.

Cómo reconocer una app fleeceware antes de instalarla

La buena noticia es que, si sabes en qué fijarte, es relativamente sencillo detectar muchas apps fleeceware antes de que lleguen a tocar tu tarjeta. Hay varios síntomas que deberían hacerte sospechar y, en muchos casos, descartarla de inmediato.

En primer lugar, desconfía de cualquier aplicación que ofrezca funciones muy básicas mediante un modelo de suscripción cara o pagos recurrentes. Un lector de códigos QR, una linterna, una calculadora simple, una brújula, un creador de GIF o un collage de fotos no justifican cuotas mensuales elevadas.

Otro aviso importante es cuando la app exige introducir los datos de pago incluso para activar una prueba gratuita muy corta. Lo razonable sería poder probar la versión básica sin entregar tu tarjeta y decidir después si quieres pagar o no. Si nada más abrirla te empuja a suscribirte, toca ir con pies de plomo.

También conviene revisar las valoraciones y los comentarios de otros usuarios. Muchas personas que han sido sorprendidas por cargos inesperados suelen dejar reseñas negativas explicando lo ocurrido. Eso sí, hay que tener cierta cautela: algunas apps inflan sus puntuaciones con opiniones falsas, por lo que interesa leer varias reseñas detalladas, no solo fijarse en la nota media.

Por último, presta atención a los periodos de prueba extra cortos (tres días, por ejemplo) combinados con precios poco claros. Si el precio real tras la prueba no queda cristalino en la pantalla de suscripción, es mejor no seguir adelante. Ninguna app básica merece jugarte una suscripción abusiva por no leer bien.

Cómo cancelar y eliminar el fleeceware si ya lo has instalado

Si sospechas que ya has caído en una app de este tipo, no basta con borrarla del móvil. El paso clave es cancelar la suscripción desde la tienda de aplicaciones, porque es ahí donde se gestionan los cobros reales.

En dispositivos Apple, puedes ver y gestionar tus suscripciones entrando en Configuración > > Suscripciones. Desde ahí podrás identificar la app problemática y anular el pago recurrente para que no vuelva a cobrarse.

En Android, el camino es Google Play Store > Menú > Suscripciones. Dentro de esa sección aparecerán todas las suscripciones activas asociadas a tu cuenta de Google. Localiza la app fleeceware, cancela la renovación automática y asegúrate de que figura como terminada.

Es muy recomendable, además, revisar con calma los movimientos recientes de tu tarjeta y tu cuenta bancaria. Si detectas cargos inusuales, anótalos, haz capturas de pantalla y comprueba qué app o servicio los está generando. Cuanto antes lo detectes, más sencillo será reclamar.

En caso de importes elevados o repetidos, conviene contactar con tu banco y explicar que se trata de una suscripción no deseada o engañosa. Aunque es posible que no puedan devolverte lo ya cobrado, sí pueden ayudarte a bloquear futuros pagos a ese comercio, reemitir la tarjeta o iniciar una disputa en determinadas circunstancias.

Otra medida útil es escribir al desarrollador (los datos de contacto suelen aparecer en la ficha de la app en la tienda) indicando que deseas cancelar cualquier suscripción y no autorizar más cargos. Tener un correo de este tipo sirve como prueba de que has comunicado tu decisión, algo que puede ayudarte en una posible reclamación posterior.

Buenas prácticas para protegerte del fleeceware y otros abusos

Más allá de casos concretos, la mejor defensa frente al fleeceware es adoptar unos hábitos digitales un poco más conscientes. No se trata de vivir con miedo a instalar nada, sino de aplicar un mínimo de sentido crítico antes de aceptar términos y condiciones.

En primer lugar, haz el esfuerzo de leer la parte de los términos que habla sobre precios, duración de pruebas y renovaciones automáticas. No hace falta leerse el contrato entero, pero sí esa sección. Si ves menciones a importes muy altos, cargos semanales o cláusulas enrevesadas, lo más prudente es no instalar la app.

Otra regla de oro es no facilitar datos de pago solo para acceder a una prueba gratuita de una aplicación sencilla. Si una app de linterna, escáner QR o collage de fotos te pide la tarjeta antes de dejarte probarla, mejor buscar una alternativa que no lo haga. Hay muchísimas opciones realmente gratuitas y seguras en las tiendas oficiales.

También ayuda revisar con cierta frecuencia tus suscripciones activas en Google Play y App Store, así como tus extractos bancarios. Convertir en hábito el revisar las pequeñas cantidades recurrentes es una de las mejores herramientas para cortar a tiempo cualquier abuso, ya sea de fleeceware o de otros servicios que ya no utilizas.

Por último, no está de más contar con soluciones de seguridad y servicios de supervisión de identidad o banca online que te alerten de actividades sospechosas. Aunque el fleeceware no sea malware en sentido estricto, muchos paquetes de seguridad avanzados incluyen funciones para detectar apps potencialmente indeseadas o patrones de cobro extraños.

Las estafas “suaves” como el fleeceware se apoyan en la rutina, la prisa y el “aceptar sin mirar” que todos practicamos alguna vez. Con un poco de atención extra al instalar apps, leer precios y vigilar las suscripciones, es posible disfrutar de tu móvil sin que esas pequeñas letras escondidas se conviertan en un agujero en tu cuenta.